服务器管理与配置全解析
1. SWAT 与 Samba 管理
SWAT 选项以其控制的 smb.conf 参数命名,之前对 smb.conf 参数的描述有助于使用 SWAT 进行基本配置。若不确定某个选项的作用,可点击选项旁的“帮助”链接,这将打开一个新浏览器,显示 smb.conf 的手册页并滚动到相关条目。
不过,SWAT 虽便于管理 Samba,但它本身是服务器,存在一定安全风险。发送到 SWAT 的密码未加密,通过网络使用风险很大,不过在 Samba 服务器计算机上使用则没那么危险。建议使用 TCP Wrappers 或 xinetd 选项,将对 SWAT 的访问限制在 Samba 服务器计算机本身,仅在最安全的本地网络中使用 SWAT 进行远程 Samba 管理。
2. Samba 安全考量
Samba 功能强大,若管理不当会带来安全隐患,一些注意事项与 NFS 类似。尤其要谨慎创建指向敏感目录(如 /etc)的文件共享,若此类共享被攻破,入侵者可能获得整台计算机的完全访问权限。
Samba 的主要访问控制方式是用户名/密码对,与 NFS 的 IP 地址限制不同,这使 Samba 不太容易因入侵者获取本地网络线路访问权而被入侵。通常使用加密密码的配置也能提供一定的密码破解防护,即便入侵者记录了两个系统间的密码交换。但根据客户端和某些高级 Samba 选项,SMB/CIFS 加密密码的加密强度可能较弱,所以不能过度依赖其密码加密。而且和 NFS 一样,非密码数据未加密,要意识到 Samba 服务器上存储的所有文件(以及通过 Samba 打印的文件)都可能被拦截。总体而言,Samba 最好在至少有一定保护的本地网络中使用,而非在整
